Datenschutz und Datensicherheit: Das sind die Unterschiede!

Was bedeutet „Datenschutz“, was bedeutet „Datensicherheit“? Kennen Sie die Antwort bzw. die Unterschiede? Eines verraten wir Ihnen gleich zu Beginn: „Datenschutz“ und „Datensicherheit“ meinen nicht Dasselbe, auch wenn sie den gemeinsamen Wortstamm „Daten“ haben. Sie sollten die Begriffe „Datenschutz“ und „Datensicherheit“ daher nicht synonym verwenden. Nun, warum ist das so? Das erklären wir Ihnen jetzt in unserem Blogartikel.

Also welche Unterschiede bestehen zwischen Datenschutz und Datensicherheit genau, obwohl sie so ähnlich klingen? Eine einheitliche Definition für die Begriffe gibt es leider nicht und die Unterschiede sind auch nicht aus den Begriffen „Datenschutz“ und „Datensicherheit“ ableitbar. Oder können Sie die Unterschiede allein anhand der Begriffe ausmachen?
Wir beginnen zunächst damit, was unter „Datenschutz“ zu verstehen ist, weil dies auch wichtig für das Verständnis der Datensicherheit ist; denn die Datensicherheit ist ein Bestandteil des Datenschutzes.

Begriffserklärung
Beim Datenschutz geht es um den Schutz der Personen, deren personenbezogene Daten, beispielsweise von einem Unternehmen oder einer Kommunalverwaltung, verarbeitet, also z. B. gespeichert, werden. Personenbezogene Daten können alle Informationen über eine Person sein, die diese direkt oder indirekt identifizieren können. Personenbezogene Daten sind unter anderem Name, Adresse, Beruf, Ausbildung oder Kontonummer, Gesundheitsdaten, politische Meinungen oder Angaben zur Religionszugehörigkeit. Kurzum, beim Datenschutz stehen die Personen im Mittelpunkt. Die Personen sollen durch die gesetzlichen Regelungen zum Datenschutz davor geschützt werden, dass ihre personenbezogenen Daten willkürlich von Unternehmen oder anderen Institutionen verarbeitet werden. Die Personen sollen die Kontrolle über ihre Daten behalten und nicht zu „gläsernen Personen“ werden.

Rechtlicher Rahmen
In Deutschland gibt es verschiedene gesetzliche Regelungen zum Datenschutz. Zum einen ist der Datenschutz in Deutschland ein Grundrecht. Dies mag mitunter nicht allgemein bekannt sein, da es kein Grundrecht mit der Bezeichnung „Datenschutz“ gibt. Allerdings wird der Datenschutz als „Recht auf informationelle Selbstbestimmung“ aus dem allgemeinen Persönlichkeitsrecht, Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG, seit dem Volkszählungsurteil von 1983 abgeleitet. Nach dem „Recht auf informationelle Selbstbestimmung“ soll grundsätzlich jede Person selbst bestimmen können, ob sie ihre Daten preisgibt, und wissen, wer wann und warum ihre Daten verarbeitet. Maßgeblich ist in Deutschland jedoch, wenn es um die konkrete Verarbeitung von personenbezogenen Daten im Berufsalltag geht, die DS-GVO und das BDSG (daneben können noch länderspezifische und/oder bereichsspezifische Regelungen gelten). Die DS-GVO geht aufgrund ihres verordnungsrechtlichen Charakters dem BDSG grundsätzlich vor; das BDSG ergänzt die DS-GVO jedoch in bestimmten Bereichen, wenn die DS-GVO keine oder keine konkreten Ausführungen enthält, z. B. im Bereich des Beschäftigtendatenschutzes.

Wesentliche Prinzipien des Datenschutzes
Damit die personenbezogenen Daten nicht willkürlich von Unternehmen oder anderen Institutionen verarbeitet werden, ist in der DS-GVO geregelt, „ob“ und „wie“ die Daten zu verarbeiten sind. Maßgeblich ist, dass die personenbezogenen Daten nur verarbeitet werden dürfen („ob“), wenn eine gesetzliche Rechtsgrundlage dies erlaubt oder eine Einwilligung der Personen vorliegt, deren Daten verarbeitet werden, Art. 6 Abs. 1 DS-GVO, sog. „Verbot mit Erlaubnisvorbehalt“. Daneben sind in der DS-GVO bestimmte Grundsätze geregelt, „wie“ die personenbezogenen Daten zu verarbeiten sind, Art. 5 DS-GVO. Beispielsweise dürfen die personenbezogenen Daten nur für vor der Verarbeitung feststehende Zwecke (z. B. Vertragserfüllung) verarbeitet werden und müssen auf ein Mindestmaß reduziert werden (z. B. keine Erhebung von personenbezogenen Daten, die für die Vertragserfüllung nicht notwendig sind). Des Weiteren hat die Datenverarbeitung transparent zu erfolgen, das heißt, dass die Personen über die Verarbeitung ihrer personenbezogenen Daten vollumfänglich informiert werden müssen, damit diese die Verarbeitung nachvollziehen bzw. kontrollieren können.

Zusammenfassung

Der Datenschutz schützt die Personen vor einer unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten. Die gesetzlichen Regelungen zum Datenschutz, insbesondere die DS-GVO, regeln, „ob“ und „wie“ die personenbezogenen Daten zu verarbeiten sind.

Begriffserklärung
„Datensicherheit“ ist neben der „IT-Sicherheit“ ein Teilbereich der Informationssicherheit“. Bei der Datensicherheit stehen im Gegensatz zum Datenschutz die Daten im Fokus und nicht die Personen; auch ist der Fokus nicht nur auf die personenbezogenen Daten gerichtet, sondern auf Daten im Allgemeinen, eingeschlossen sind daher z. B. auch betriebliche Daten (Bilanzen, Quellcode), die keinen Personenbezug aufweisen. Die Datensicherheit hat das Ziel, die Daten durch technische und/oder organisatorische Maßnahmen vor Bedrohungen zu schützen. Bedrohungen können z. B. Hacking, Diebstahl, Malware oder menschliches Fehlverhalten sein.

Rechtlicher Rahmen
Bei der Datensicherheit steht im Vordergrund, dass die technischen und/oder organisatorischen Maßnahmen zum Schutz der Daten eingehalten werden. Ein allgemein geltendes Gesetz für jegliche Unternehmen in Bezug auf die Datensicherheit gibt es nicht. Allerdings schreibt die DS-GVO in Art. 32 vor, dass technische und/oder organisatorische Maßnahmen zum Schutz der personenbezogenen Daten eingesetzt werden müssen; in Art. 32 DS-GVO sind auch beispielhafte Maßnahmen, wie z. B. Verschlüsselung oder Pseudonymisierung, genannt.
Für kritische Infrastrukturen, kurz „KRITIS“, wie z. B. für den Bereich des Gesundheitswesens, der Finanzen, der Ernährung oder der Energie, gibt es jedoch spezielle gesetzliche Regelungen in Bezug auf die Informationssicherheit im Allgemeinen. Für die KRITIS gilt das Informationssicherheitsgesetz. Das Gesetz soll gewährleisten, dass die informationstechnischen Systeme der KRITIS sicher gestaltet werden. Darüber hinaus können sich Unternehmen oder andere Institutionen nach bestimmten Standards zertifizieren lassen, z. B. nach ISO 27001 oder BSI IT-Grundschutz. Diese Standards enthalten bestimmte Regelungen, wie die Informationssicherheit in einem Unternehmen oder anderen Institutionen theoretisch und praktisch durch technische und/oder organisatorische Maßnahmen umgesetzt werden kann.

Wesentliche Schutzziele der Datensicherheit
Ziel der Datensicherheit ist, dass die Daten jederzeit geschützt sind. Die Datensicherheit besteht unter anderem dann, wenn die drei wesentlichen Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ gewährleistet bzw. nicht beeinträchtigt sind. Die Vertraulichkeit ist gewährleistet, wenn nur Befugte Zugriff auf die Daten haben; die Verfügbarkeit, wenn die Daten für Befugte jederzeit zur Verfügung stehen; die Integrität, wenn die Daten korrekt und vollständig sind.

Zusammenfassung

Die Datensicherheit schützt Daten jeglicher Art vor Verlust, Manipulation und anderen Bedrohungen. Die Datensicherheit kann insbesondere durch technische und/oder organisatorische Maßnahmen gewährleistet werden.

Wichtig ist, dass Datenschutz und Datensicherheit zwar nicht identisch sind, aber der Datenschutz auch nur über die Datensicherheit gewährleistet werden kann. Denn es nützt nichts, wenn die personenbezogenen Daten rechtmäßig verarbeitet, aber nicht vor Bedrohungen technisch und/oder organisatorisch ausreichend geschützt werden.